Данный вредонос Furtim состоит из драйвера, загрузчика и трех полезных нагрузок. Первая представляет собой энергосберегающий конфигурационный инструмент, позволяющий держать компьютер жертвы все время включенным и подключенным к C&C-серверу вредоноса. Вторая является популярной программой для похищения паролей Pony Stealer. Третий файл пока еще не был проанализирован экспертами.
Программа блокирует доступ почти к 250 связанным с безопасностью сайтов, заменяя файл hosts в Windows. Furtim также обходит сервисы фильтрации DNS, сканируя и заменяя фильтруемые серверы имен публичными. Программа обходит любую политику перезагрузки, тем самым обеспечивая запуск полезной нагрузки, и деактивирует уведомления Windows и всплывающие окна, а также блокирует жертве доступ к командной строке и диспетчеру задач, лишая ее возможности прервать вредоносный процесс.
C&C-сервер отправляет полезную нагрузку определенному компьютеру только один раз, чтобы исследователи безопасности не могли получить с сервера образцы Furtim. Предназначение вредоноса пока не известно, однако наличие Pony Stealer свидетельствует о том, что оно может применяться в ходе целевых атак. По словам Готтесмана, C&C-сервер размещен в российском домене, связанном с несколькими украинскими IP-адресами.
(1).png)